중요합니다
2025년 5월 1일부터 새 고객을 위해 Azure AD B2C를 더 이상 구매할 수 없습니다. FAQ에서 자세히 알아보세요.
Azure AD B2C(Azure Active Directory B2C) 디렉터리 사용자 프로필에는 지정된 이름, 성, 도시, 우편 번호 및 전화 번호와 같은 기본 제공 특성 집합이 함께 제공됩니다. 외부 데이터 저장소를 요구하지 않고 사용자 프로필을 고유한 애플리케이션 데이터로 확장할 수 있습니다.
Microsoft Graph API는 Azure와 함께 사용할 수 있는 대부분의 특성을 지원합니다. 이 문서에서는 Azure AD B2C에서 지원하는 사용자 프로필 특성에 대해 설명합니다. 또한 Microsoft Graph에서 지원하지 않는 특성과 Azure AD B2C에서 사용하지 않아야 하는 Microsoft Graph API 특성도 적어 드립니다.
중요합니다
계정 자격 증명, 정부 식별 번호, 카드 소유자 데이터, 재무 계정 데이터, 의료 정보 또는 중요한 배경 정보와 같은 중요한 개인 데이터를 저장하기 위해 기본 제공 또는 확장 특성을 사용하면 안 됩니다.
외부 시스템과 통합할 수도 있습니다. 예를 들어 인증에 Azure AD B2C를 사용할 수 있지만 외부 CRM(고객 관계 관리) 또는 고객 충성도 데이터베이스를 고객 데이터의 신뢰할 수 있는 원본으로 위임할 수 있습니다. 자세한 내용은 원격 프로필 솔루션을 참조하세요.
Microsoft Entra 사용자 리소스 종류
Azure AD B2C 디렉터리 사용자 프로필은 아래 표에 나열된 사용자 리소스 유형 특성을 지원합니다. 각 특성에 대한 다음 정보를 제공합니다.
- Azure AD B2C에서 사용하는 특성 이름(다른 경우 괄호 안에 Microsoft Graph 이름이 표시됨)
- 특성 데이터 형식
- 특성 설명
- Azure Portal에서 특성을 사용할 수 있는지 여부
- 사용자 흐름에서 특성을 사용할 수 있는지 여부
- 사용자 지정 정책 Microsoft Entra ID 기술 프로필 및 섹션(<InputClaims>, <OutputClaims> 또는 <PersistedClaims>)에서 특성을 사용할 수 있는지 여부
| 이름 | 데이터 형식 | 설명 | Azure Portal에서 사용 가능 | 사용자 흐름에 사용 | 사용자 지정 정책에서 사용 |
|---|---|---|---|---|---|
| 계정 활성화됨 | 불리언 (Boolean) | 사용자 계정을 사용할지 여부를 지정합니다. 계정이 활성화되어 있으면 true 이고, 그렇지 않으면 false입니다. | 예 | 아니오 | 지속형, 출력 |
| 연령 그룹 | 문자열 | 사용자의 연령 그룹입니다. 가능한 값: null, 정의되지 않음, 미성년, 성인, 비성인. | 예 | 아니오 | 지속형, 출력 |
| alternativeSecurityId(정체성) | 문자열 | 외부 ID 공급자의 단일 사용자 ID입니다. | 아니오 | 아니오 | 입력, 지속형, 출력 |
| alternativeSecurityIds(Identities) | 대체 securityId 컬렉션 | 외부 ID 공급자의 사용자 ID 컬렉션입니다. | 아니오 | 아니오 | 지속형, 출력 |
| 도시 | 문자열 | 사용자의 거주 도시입니다. 최대 길이 128. | 예 | 예 | 지속형, 출력 |
| 미성년자에 대한 동의 제공 | 문자열 | 미성년자에 대한 동의가 제공되었는지 여부입니다. 허용되는 값: null, 허용됨, 거부됨 또는 필요하지 않음입니다. | 예 | 아니오 | 지속형, 출력 |
| 국가 | 문자열 | 사용자의 국가/거주 지역입니다. 예: 미국 또는 영국. 최대 길이 128. | 예 | 예 | 지속형, 출력 |
| 생성된날짜시간 | 날짜와 시간 | 사용자 개체를 만든 날짜입니다. 읽기 전용입니다. | 아니오 | 아니오 | 지속형, 출력 |
| 생성 유형 | 문자열 | 사용자 계정이 Azure Active Directory B2C 테넌트의 로컬 계정으로 만들어진 경우 값은 LocalAccount 또는 nameCoexistence입니다. 읽기 전용입니다. | 아니오 | 아니오 | 지속형, 출력 |
| 생년월일 | 날짜 | 생년월일. | 아니오 | 아니오 | 지속형, 출력 |
| 부서 | 문자열 | 사용자가 작동하는 부서의 이름입니다. 최대 길이 64. | 예 | 아니오 | 지속형, 출력 |
| 디스플레이 이름 | 문자열 | 사용자의 표시 이름입니다. 최대 길이 256. | 예 | 예 | 지속형, 출력 |
| 팩시밀리전화번호1 | 문자열 | 사용자의 업무용 팩스 컴퓨터의 전화 번호입니다. | 예 | 아니오 | 지속형, 출력 |
| 이름 (Given Name) | 문자열 | 사용자의 이름(성 제외)입니다. 최대 길이 64. | 예 | 예 | 지속형, 출력 |
| 직책 | 문자열 | 사용자의 직호입니다. 최대 길이 128. | 예 | 예 | 지속형, 출력 |
| 변경 불가능한 ID | 문자열 | 온-프레미스 Active Directory에서 마이그레이션된 사용자에게 일반적으로 사용되는 식별자입니다. | 아니오 | 아니오 | 지속형, 출력 |
| 법적 연령 그룹 분류 | 문자열 | 법적 연령 그룹 분류. ageGroup 및 consentProvidedForMinor 속성을 기준으로 계산되는 읽기 전용 값입니다. 허용되는 값: Null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult, adult. | 예 | 아니오 | 지속형, 출력 |
| 법적국가1 | 문자열 | 법적 목적으로 국가/지역. | 아니오 | 아니오 | 지속형, 출력 |
| 메일 별칭 | 문자열 | 사용자의 메일 별칭입니다. 최대 길이 64. | 아니오 | 아니오 | 지속형, 출력 |
| 모바일(모바일폰) | 문자열 | 사용자의 기본 셀룰러 전화 번호입니다. 최대 길이 64. | 예 | 아니오 | 지속형, 출력 |
| 네트워크 ID | 문자열 | Net ID입니다. | 아니오 | 아니오 | 지속형, 출력 |
| 오브젝트 ID | 문자열 | 사용자의 고유 식별자인 GUID(Globally Unique Identifier)입니다. 예: 12345678-9abc-def0-1234-56789abcde. 읽기 전용, 변경할 수 없습니다. | 읽기 전용 | 예 | 입력, 지속형, 출력 |
| 기타 메일 | 문자열 컬렉션 | 사용자의 다른 전자 메일 주소 목록입니다. 예: [""bob@contoso.com, "Robert@fabrikam.com"]. 참고: 강조 문자는 허용되지 않습니다. | 예(대체 전자 메일) | 아니오 | 지속형, 출력 |
| 암호 | 문자열 | 사용자를 만드는 동안 로컬 계정의 암호입니다. | 아니오 | 아니오 | 지속됨 |
| 비밀번호 정책 | 문자열 | 암호의 정책입니다. 쉼표로 구분된 서로 다른 정책 이름으로 구성된 문자열입니다. 예를 들면 “DisablePasswordExpiration, DisableStrongPassword”입니다. | 아니오 | 아니오 | 지속형, 출력 |
| physicalDeliveryOfficeName(officeLocation) | 문자열 | 사용자의 비즈니스 위치에 있는 사무실 위치입니다. 최대 길이 128. | 예 | 아니오 | 지속형, 출력 |
| 우편번호 | 문자열 | 사용자의 우편 주소에 대한 우편 번호입니다. 우편 번호는 사용자의 국가/지역과 관련이 있습니다. 미국에서는 이 특성에 우편 번호가 포함됩니다. 최대 길이 40. | 예 | 아니오 | 지속형, 출력 |
| 선호하는 언어 | 문자열 | 사용자의 기본 설정 언어입니다. 기본 설정 언어 형식은 RFC 4646을 기반으로합니다. 이름은 언어와 연결된 ISO 639 2자 소문자 문화권 코드와 국가 또는 지역과 연결된 ISO 3166 2자 대문자 하위 문화권 코드의 조합입니다. 예: en-US또는 es-ES. | 아니오 | 아니오 | 지속형, 출력 |
| refreshTokensValidFromDateTime(signInSessionsValidFromDateTime) | 날짜와 시간 | 이 시간 전에 발급된 모든 새로 고침 토큰은 유효하지 않으며, 잘못된 새로 고침 토큰을 사용하여 새 액세스 토큰을 획득할 때 애플리케이션에 오류가 발생합니다. 이 경우 애플리케이션은 권한 있는 엔드포인트에 요청을 수행하여 새 새로 고침 토큰을 획득해야 합니다. 읽기 전용입니다. | 아니오 | 아니오 | 출력 |
| signInNames(Identities) | 문자열 | 디렉터리에 있는 모든 형식의 로컬 계정 사용자의 고유한 로그인 이름입니다. 이 특성을 사용하여 로컬 계정 유형을 지정하지 않고 로그인 값을 가진 사용자를 가져옵니다. | 아니오 | 아니오 | 입력 |
| signInNames.userName(Identities) | 문자열 | 디렉터리에 있는 로컬 계정 사용자의 고유한 사용자 이름입니다. 이 특성을 사용하여 특정 로그인 사용자 이름을 가진 사용자를 만들거나 가져옵니다. 패치 작업 중에 PersistedClaims에서만 이 특성을 지정하면 다른 유형의 signInNames가 제거됩니다. 새 유형의 signInNames를 추가하려면 기존 signInNames도 유지해야 합니다. 참고: 사용자 이름에는 악센트 문자가 허용되지 않습니다. | 아니오 | 아니오 | 입력, 지속형, 출력 |
| signInNames.phoneNumber(Identities) | 문자열 | 디렉터리에 있는 로컬 계정 사용자의 고유한 전화 번호입니다. 이 특성을 사용하여 특정 로그인 전화 번호를 가진 사용자를 만들거나 가져옵니다. 패치 작업 중에 PersistedClaims에서만 이 특성을 지정하면 다른 유형의 signInNames가 제거됩니다. 새 유형의 signInNames를 추가하려면 기존 signInNames도 유지해야 합니다. | 아니오 | 아니오 | 입력, 지속형, 출력 |
| signInNames.emailAddress(Identities) | 문자열 | 디렉터리에 있는 로컬 계정 사용자의 고유한 이메일 주소입니다. 이 특성을 사용하여 특정 로그인 전자 메일 주소를 가진 사용자를 만들거나 가져옵니다. 패치 작업 중에 PersistedClaims에서만 이 특성을 지정하면 다른 유형의 signInNames가 제거됩니다. 새 유형의 signInNames를 추가하려면 기존 signInNames도 유지해야 합니다. | 아니오 | 아니오 | 입력, 지속형, 출력 |
| 주 | 문자열 | 사용자 주소의 시/도입니다. 최대 길이 128. | 예 | 예 | 지속형, 출력 |
| 도로 주소 | 문자열 | 사용자 비즈니스 위치의 거리 주소입니다. 최대 길이 1024. | 예 | 예 | 지속형, 출력 |
| 강력 인증 대체 전화번호1 | 문자열 | 다단계 인증에 사용되는 사용자의 보조 전화 번호입니다. | 예 | 아니오 | 지속형, 출력 |
| 강력 인증 이메일 주소1 | 문자열 | 사용자의 SMTP 주소입니다. 예: "bob@contoso.com" 이 특성은 사용자 이름 정책을 사용하여 로그인하여 사용자 이메일 주소를 저장하는 데 사용됩니다. 그런 다음 암호 재설정 흐름에서 사용되는 이메일 주소입니다. 이 특성에서는 악센트 문자가 허용되지 않습니다. | 예 | 아니오 | 지속형, 출력 |
| 강력인증전화번호2 | 문자열 | 다단계 인증에 사용되는 사용자의 기본 전화 번호입니다. | 예 | 아니오 | 지속형, 출력 |
| 성씨 | 문자열 | 사용자의 성입니다(이름 제외). 최대 길이 64. | 예 | 예 | 지속형, 출력 |
| telephoneNumber(businessPhones의 첫 번째 항목) | 문자열 | 사용자의 비즈니스 위치의 기본 전화 번호입니다. | 예 | 아니오 | 지속형, 출력 |
| 사용자 기본 이름 | 문자열 | 사용자의 UPN(사용자 계정 이름)입니다. UPN은 인터넷 표준 RFC 822를 기반으로 하는 사용자의 인터넷 스타일 로그인 이름입니다. 도메인은 테넌트의 확인된 도메인 컬렉션에 있어야 합니다. 이 속성은 계정을 만들 때 필요합니다. 변경 불가 | 아니오 | 아니오 | 입력, 지속형, 출력 |
| 사용 위치 | 문자열 | 국가/지역의 서비스 가용성을 확인하기 위한 법적 요구 사항으로 인해 라이선스가 할당된 사용자에게 필요합니다. Null을 허용하지 않습니다. 두 문자 국가/지역 코드(ISO 표준 3166)입니다. 예를 들어 미국, JP 및 GB입니다. | 예 | 아니오 | 지속형, 출력 |
| 사용자 유형 | 문자열 | 디렉터리에서 사용자 형식을 분류하는 데 사용할 수 있는 문자열 값입니다. 값은 멤버여야 합니다. 읽기 전용입니다. | 읽기 전용 | 아니오 | 지속형, 출력 |
| userState(externalUserState)3 | 문자열 | Microsoft Entra B2B 계정의 경우 초대가 PendingAcceptance인지 아니면 수락되었는지 여부를 나타냅니다. | 아니오 | 아니오 | 지속형, 출력 |
| 사용자상태변경됨(외부사용자상태변경날짜시간)3 | 날짜와 시간 | UserState 속성에 대한 최신 변경 내용에 대한 타임스탬프를 표시합니다. | 아니오 | 아니오 | 지속형, 출력 |
1 Microsoft Graph에서 지원되지 않음
2개 자세한 내용은 MFA 전화 번호 특성을 참조하세요.
3 Azure AD B2C와 함께 사용하면 안 됩니다.
필수 특성
Azure AD B2C 디렉터리에 사용자 계정을 만들려면 다음 필수 특성을 제공합니다.
이름 특성 표시
Azure 포털 사용자 관리와 애플리케이션에 반환되는 Azure AD B2C의 액세스 토큰에서 사용자에게 표시할 이름은 displayName입니다. 이 속성은 필수입니다.
ID 특성
소비자, 파트너 또는 시민일 수 있는 고객 계정은 다음 ID 유형과 연결할 수 있습니다.
- 로컬 ID - 사용자 이름 및 암호는 Azure AD B2C 디렉터리에 로컬로 저장됩니다. 종종 이러한 ID를 "로컬 계정"이라고 합니다.
- 페더레이션 ID - 소셜 또는 엔터프라이즈 계정이라고도 하는 사용자의 ID는 Facebook, Microsoft, ADFS 또는 Salesforce와 같은 페더레이션 ID 공급자에 의해 관리됩니다.
고객 계정이 있는 사용자는 여러 ID로 로그인할 수 있습니다. 예를 들어 사용자 이름, 전자 메일, 직원 ID, 정부 ID 등이 있습니다. 단일 계정에는 동일한 암호를 사용하여 로컬 및 소셜 ID를 여러 개 가질 수 있습니다.
Microsoft Graph API에서 로컬 ID와 페더레이션 ID는 모두 identities 형식인 사용자 특성에 저장됩니다. 컬렉션은 identities 사용자 계정에 로그인하는 데 사용되는 ID 집합을 나타냅니다. 이 컬렉션을 사용하면 연결된 ID를 사용하여 사용자 계정에 로그인할 수 있습니다. ID 특성에는 최대 10개의 objectIdentity 개체가 포함될 수 있습니다. 각 개체에는 다음 속성이 포함됩니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| 로그인 유형 | 문자열 | 디렉터리의 사용자 로그인 유형을 지정합니다. 로컬 계정의 경우, emailAddress, emailAddress1, emailAddress2emailAddress3, userName또는 원하는 다른 유형입니다. 소셜 계정은 federated로 설정해야 합니다. |
| 발행자 | 문자열 | ID의 발급자를 지정합니다. 로컬 계정( signInType 이 아닌 federated경우)의 경우 이 속성은 로컬 B2C 테넌트 기본 도메인 이름입니다. 예를 들면 다음과 같습니다 contoso.onmicrosoft.com. 소셜 ID( signInType 이 federated있는 경우)의 경우 값은 발급자의 이름입니다(예: ). facebook.com |
| 발급자 지정 ID | 문자열 | 발급자가 사용자에게 할당한 고유 식별자를 지정합니다.
발급자와issuerAssignedId의 조합은 테넌트 내에서 고유해야 합니다. 로컬 계정의 경우 signInType이 emailAddress 또는 userName으로 설정되면, 이는 사용자의 로그인 이름을 나타냅니다.signInType이 다음으로 설정된 경우:
|
다음 JSON 코드 조각은 로그인 이름이 있는 로컬 계정 ID, 로그인으로 전자 메일 주소 및 소셜 ID가 있는 Identities 특성을 보여 냅니다.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
페더레이션 ID의 경우 ID 공급자에 따라 issuerAssignedId 는 애플리케이션 또는 개발 계정당 지정된 사용자에 대한 고유한 값입니다. 소셜 공급자 또는 동일한 개발 계정 내의 다른 애플리케이션이 할당하는 것과 동일한 애플리케이션 ID로 Azure AD B2C 정책을 구성합니다.
암호 프로필 속성
로컬 ID의 경우 passwordProfile 특성이 필요하며 사용자의 암호를 포함합니다. 이 특성은 forceChangePasswordNextSignIn 사용자가 다음 로그인 시 암호를 재설정해야 하는지 여부를 나타냅니다. 강제 암호 재설정을 처리하려면 강제 암호 재설정 흐름을 설정하는 지침을 사용합니다.
페더레이션된(소셜) ID의 경우 passwordProfile 특성이 필요하지 않습니다.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
암호 정책 특성
Azure AD B2C 암호 정책(로컬 계정의 경우)은 Microsoft Entra ID 강력한 암호 강도 정책을 기반으로 합니다. Azure AD B2C 등록 또는 로그인 및 암호 재설정 정책에는 강력한 암호 강도가 필요하며 암호가 만료되지 않습니다.
사용자 마이그레이션 시나리오에서 마이그레이션하려는 계정의 암호 강도가 Azure AD B2C에 의해 적용되는 강력한 암호 강도 보다 약한 경우 강력한 암호 요구 사항을 사용하지 않도록 설정할 수 있습니다. 기본 암호 정책을 변경하려면 특성을 passwordPolicies.로 설정합니다DisableStrongPassword. 예를 들어 다음과 같이 만든 사용자 요청을 수정할 수 있습니다.
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
MFA 전화 번호 특성
MFA(다단계 인증)에 휴대폰을 사용하는 경우 휴대폰을 사용하여 사용자 ID를 확인합니다. 프로그래밍 방식으로 새 전화 번호를 추가 하려면 전화 번호를 업데이트, 가져오기 또는 삭제 하려면 MS Graph API 전화 인증 방법을 사용합니다.
Azure AD B2C 사용자 지정 정책에서 전화 번호는 클레임 유형을 통해 strongAuthenticationPhoneNumber 사용할 수 있습니다.
확장 특성
모든 고객 관련 애플리케이션에는 수집할 정보에 대한 고유한 요구 사항이 있습니다. Azure AD B2C 테넌트에는 지정된 이름, 성 및 우편 번호와 같은 속성에 저장된 기본 제공 정보 집합이 함께 제공됩니다. Azure AD B2C를 사용하면 각 고객 계정에 저장된 속성 집합을 확장할 수 있습니다. 자세한 내용은 Azure Active Directory B2C에서 사용자 특성 추가 및 사용자 입력 사용자 지정을 참조하세요.
확장 특성은 디렉터리에 있는 사용자 개체의 스키마를 확장 합니다. 확장 특성은 사용자에 대한 데이터를 포함할 수 있더라도 애플리케이션 개체에만 등록할 수 있습니다. 확장 특성이 b2c-extensions-app이라는 애플리케이션에 부착됩니다. 이 애플리케이션은 Azure AD B2C에서 사용자 데이터를 저장하는 데 사용되므로 수정하지 마세요. Microsoft Entra 앱 등록에서 이 애플리케이션을 찾을 수 있습니다.
Azure AD B2Cb2c-extensions-app에 대해 자세히 알아봅니다.
비고
- 최대 100개의 확장 속성을 어떤 사용자 계정에든 쓸 수 있습니다.
- b2c-extensions-app 애플리케이션이 삭제되면 해당 확장 특성은 포함된 모든 데이터와 함께 모든 사용자에서 제거됩니다.
- 애플리케이션에서 확장 특성을 삭제하면 모든 사용자 계정에서 확장 특성이 제거되고 값이 삭제됩니다.
Microsoft Graph API의 확장 특성은 규칙을 사용하여 명명됩니다. extension_ApplicationClientID_AttributeName여기서는 다음과 같습니다.
- 애플리케이션
ApplicationClientID의 애플리케이션(클라이언트) ID 입니다b2c-extensions-app. 확장 앱을 찾는 방법을 알아봅니다. -
AttributeName확장 특성의 이름입니다.
확장 특성의 이름을 만드는 데 사용되는 애플리케이션(클라이언트) ID 에는 하이픈이 포함되지 않습니다. 다음은 그 예입니다.
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
스키마 확장에서 특성을 정의할 때 지원되는 데이터 형식은 다음과 같습니다.
| 유형 | 비고 |
|---|---|
| 불리언 (Boolean) | 가능한 값: true 또는 false입니다. |
| 날짜와 시간 | ISO 8601 형식으로 지정해야 합니다. 값은 UTC에 저장됩니다. |
| 정수 | 32비트 값입니다. |
| 문자열 | 최대 256자입니다. |
관련 콘텐츠
확장 특성에 대해 자세히 알아보세요.